Уязвимый Android: как с помощью камеры смартфон следит за пользователями

Параноикам дальше лучше не читать. Специалисты по кибербезопасности из компании Checkmarx заявляют: в операционной системе Android есть серьезная уязвимость — при желании можно получать фотографии, видео, звукозаписи и местоположение пользователя практически любого смартфона.
Уязвимый Android: как с помощью камеры смартфон следит за пользователями

Android обладает богатым набором различных разрешений для приложений. По задумке создателей, эта система ограничения доступа к функциям смартфона должна обеспечить существенные затруднения для вредоносного ПО. Например, без разрешения использовать камеру программы злоумышленников не смогут следить за вами через основную или фронтальную камеру или получать с нее новую картинку, а без разрешения записывать звук — не получат голос владельца.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Как хакеры следят за нами через телефон

На практике самое распространенное разрешение, требуемое приложениями, чтобы следить за нами — доступ к хранилищу, который дает злоумышленнику практически неограниченные возможности шпионить за владельцем смартфона. Даже не используя никакие уязвимости, любое приложение, которому позволено читать и записывать данные на встроенную память, может найти и украсть любой файл. Это могут быть конфиденциальные документы, диктофонные записи или снимки, а также видео.

Изучая метаданные фотографий можно отследить место, где был сделан снимок (если запись геоданных принудительно не была отключена пользователем). А если проанализировать все фото в галерее, можно построить карту перемещений объекта слежки. Порой этого достаточно для шантажа, атаки на жертву при помощи социальной инженерии либо же кражи финансовой информации. Однако есть уязвимость, которая расширяет арсенал злоумышленника до невероятных границ.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ
Google Pixel 2XL
РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Возможно ли следить за человеком через камеру смартфона

Сотрудники компании Checkmarx знают способ заставить фронтальную или обычную камеру смартфона принудительно делать снимки или записывать видео. Для этого необходима определенная (неназванная в целях безопасности) последовательность действий и внутренних системных вызовов. Все, что после этого остается злоумышленнику — скачать полученные в результате ролики и фотографии.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Это позволяет приложению не имеющему доступ к камере производить полноценный захват видео, звука (в форме аудиодорожки к видео), изображений окружающего пространства и отслеживать через смартфон местоположение жертвы (как было описано выше — через геотеги фото).

Как специалисты нашли в телефоне уязвимость

Чтобы проверить, действительно ли хакеры могут следить за нами через телефон, было создано абсолютно безобидно выглядящее приложение «Погода», с помощью которого был показан процесс взлома. Программа выполняет все свои основные функции — показывает текущие метеорологические сведения заданного места.

Однако сразу после первого запуска она устанавливает фоновое защищенное соединение с удаленным сервером злоумышленника и начинает ждать команды. Оно продолжает работать и после закрытия приложения. Есть два режима работы: обычный, когда камера смартфона открывается на экране, и скрытный, в котором камера будет включаться только если смартфон лежит «лицом вниз» или прижат к голове владельца (во время разговора).

Нажми и смотри


В результате эксперимента со смартфона Google Pixel 2XL под управлением версии Android 9 были получены геоданные из всех снимков, а также фото и видео в режиме реального времени. Более того, специалисты по кибербезопасности продемонстрировали вполне реальный вариант слежки, когда человек разговаривает по телефону рядом с проектором, на который выводятся конфиденциальные данные. В момент разговора смартфон записывает видео, а после этого готовый файл злоумышленник благополучно сохраняет себе.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Информация об этой уязвимости была предоставлена компании Google, чтобы та выпустила исправленные версии программного обеспечения. Но сроки появления «заплаток» до сих пор не обозначены, и уязвимость работает.

Бонус: базовые правила цифровой безопасности

  • Использовать на всех устройствах защитные решения
  • Устанавливать приложения только из официальных магазинов
  • Внимательно читать пользовательское соглашение и не давать приложению излишние права
  • Использовать разные пароли для разных учетных записей
  • Не переходить по сомнительным ссылкам
  • Критически относиться к любой информации, с которой сталкиваетесь